Instrukcja Zarządzania Systemem Informatycznym

Załącznik nr 2
do Zarządzenia Nr 76/2015
Burmistrza Gminy Różan
z dnia 30 grudnia 2015 r.
Instrukcja
Zarządzania Systemem Informatycznym
Niniejsza instrukcja określa sposób zarządzania systemami informatycznymi, służącymi do
przetwarzania danych osobowych, ze szczególnym uwzględnieniem bezpieczeństwa informacji
oraz postępowania w sytuacjach naruszenia ochrony danych osobowych w Urzędzie Gminy
w Różanie. Jest dokumentem wewnętrznym wydanym przez Administratora danych – Burmistrza
Gminy Różan i ma zastosowanie do przetwarzania danych osobowych w systemach
informatycznych Urzędu w celu bezpiecznego ich wykorzystania.
§ 1.
Ilekroć w Instrukcji jest mowa o:
1. Urzędzie - rozumie się przez to Urząd Gminy w Różanie,
2. Ustawie — rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2015r. poz. 2135), zwaną dalej „ustawą",
3. Identyfikatorze użytkownika — rozumie się przez to ciąg znaków literowych, cyfrowych lub
innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w
systemie informatycznym,
4. Haśle — rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie
osobie uprawnionej do pracy w systemie informatycznym,
5. Sieci telekomunikacyjnej — rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2
pkt 35 ustawy z dnia 16 lipca 2004 r. — Prawo telekomunikacyjne (Dz. U. z 2014r., poz. 243,
827, 1198, z 2015r. poz. 1069),
6. Sieci publicznej — rozumie się przez to termin, który przywołuje § 2 ust. 5 Rozporządzenia
Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z 2004r. Nr 100, poz. 1024),
7. Teletransmisji– rozumie się przez to przesyłanie informacji za pośrednictwem sieci
telekomunikacyjnej,
8. Rozliczalności— rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą
być przypisane w sposób jednoznaczny tylko temu podmiotowi,
9. Integralność danych — rozumie się przez to właściwość zapewniającą, że dane osobowe nie
zostały zmienione lub zniszczone w sposób nieautoryzowany,
10. Raporcie — rozumie się przez to przygotowane przez system informatyczny zestawienia
zakresu i treści przetwarzanych danych,
11. Poufności danych — rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane
nieupoważnionym podmiotom,
12. Uwierzytelnianiu — rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej
tożsamości podmiotu.
1
§ 2.
W Urzędzie za przestrzeganie zapisów Instrukcji odpowiedzialny jest zgodnie z zapisem §3
Polityki bezpieczeństwa wyznaczony Administrator Systemu Informatycznego.
§ 3.
W związku z tym, że w Urzędzie przynajmniej jedno urządzenie systemu informatycznego,
służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną, oraz
uwzględniając kategorie przetwarzanych danych i zagrożenia wprowadza się poziom
bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym na poziomie
wysokim, a w związku z tym wprowadza się poniższe postanowienia:
1) Obszar, w który są przetwarzane dane, zabezpiecza się przed dostępem osób
nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania
danych osobowych. Przebywanie osób nieuprawnionych w obszarze, w którym są
przetwarzane dane, jest dopuszczalne za zgodą Administratora danych, Administratora
Bezpieczeństwa Informacji lub w obecności osoby upoważnionej do przetwarzania danych
osobowych.
2) W systemie informatycznym służącym do przetwarzania danych osobowych, przetwarzać
dane mogą wyłącznie osoby posiadające aktualne upoważnienie nadane przez
Administratora danych. Użytkownik przetwarzający dane po otrzymaniu upoważnienia oraz
loginu i hasła jest zobowiązany niezwłocznie dokonać zmiany hasła oraz zachować je
w tajemnicy. Użytkownik jest zobowiązany do zmiany hasła nie rzadziej niż co 30 dni.
Hasło nadane przez użytkownika musi składać się z co najmniej z 8 znaków, zawierać małe
i wielkie litery oraz cyfry lub znaki specjalne.
3) Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej
dwie osoby, wówczas zapewnia się, aby w systemie tym rejestrowany był dla każdego
użytkownika odrębny identyfikator oraz aby dostęp do danych był możliwy wyłącznie po
wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.
4) System informatyczny służący do przetwarzania danych osobowych zabezpiecza się,
w szczególności przed:
a) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do
systemu informatycznego:
- poprzez zainstalowanie programu antywirusowego,
- poprzez zainstalowanie firewall (zapora sieciowa),
- poprzez zabezpieczenie sieci radiowej odpowiedniej mocy uwierzytelnieniem,
b) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej poprzez
zastosowanie zasilacza awaryjnego UPS.
5) Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być
przydzielony innej osobie.
6) W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana
następuje nie rzadziej niż co 30 dni. Hasło składa się ono co najmniej z 8 znaków, zawiera
małe i wielkie litery oraz cyfry lub znaki specjalne.
7) Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez
wykonywanie kopii zapasowych zbiorów danych oraz programów służących do
przetwarzania danych. Kopie wszystkich danych osobowych muszą być tworzone nie
rzadziej niż raz na tydzień.
8) Kopie zapasowe:
2
a) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem,
modyfikacją, uszkodzeniem lub zniszczeniem w pomieszczeniu zamkniętym,
b) usuwa się niezwłocznie po ustaniu ich użyteczności.
9) Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną
ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem
przetwarzania danych osobowych, w tym stosuje hasła dostępu do komputera przenośnego
oraz do plików, w których przetwarzane są dane osobowe.
10) Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe,
przeznaczone do:
a) likwidacji — pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to
możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie,
b) przekazania podmiotowi nieuprawnionemu do przetwarzania danych — pozbawia się
wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie,
c) naprawy — pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich
odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora
danych.
§ 4.
1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym —
z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie
do edycji tekstu w celu udostępnienia go na piśmie — system ten zapewnia odnotowanie:
1) daty pierwszego wprowadzenia danych do systemu,
2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp
do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna
osoba,
3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą,
4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały
udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany
jest do przetwarzania danych zawartych w zbiorach jawnych,
5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
2. Odnotowanie informacji, o których mowa w §7 ust. 1 pkt 1 i 2 Rozporządzenia Ministra Spraw
Wewnętrznych i Administracji z 29 kwietnia 2004r. (Dz. U. z 2004r. Nr 100, poz. 1024),
następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.
3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system
zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej
formie informacje, o których mowa w §7 ust. 1 Rozporządzenia Ministra Spraw Wewnętrznych
i Administracji z 29 kwietnia 2004r. (Dz. U. z 2004r. Nr 100, poz. 1024).
4. W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach
informatycznych, wymagania, o których mowa w §7 ust. 1 pkt. 4 Rozporządzenia Ministra
Spraw Wewnętrznych i Administracji (Dz. U. z 2004r. Nr 100, poz. 1024), mogą być
realizowane w jednym z nich, lub w odrębnym systemie informatycznym przeznaczonym do
tego celu.
§ 5.
3
Po zakończeniu pracy w systemie informatycznym użytkownik ma obowiązek wylogować się
z systemu. W przypadku braku czynności ze strony użytkownika w systemie informatycznym przez
30 minut, system samoczynnie wyloguje użytkownika przetwarzającego dane osobowe.
§ 6.
Administrator Systemu Informatycznego ma obowiązek dokonywać przeglądów technicznych
sprzętu informatycznego w podmiocie oraz dbać o ich dobry stan techniczny. Zaleca się
dokonywanie przeglądów okresowych co 30 dni oraz przeglądów generalnych raz na rok. W
przypadku stwierdzenia usterek technicznych Administrator Systemu Informatycznego ma
obowiązek niezwłocznie powiadomić o tym fakcie Administratora danych.
§ 7.
W przypadku stwierdzenia przez Administratora Systemu Informatycznego uchybień dotyczących
przetwarzania danych w Urzędzie, powinien
o tym fakcie niezwłocznie powiadomić
Administratora danych oraz wprowadzić takie zabezpieczenia i procedury, które w przyszłości
wyeliminują takie zdarzenia.
§ 8.
W sprawach nieuregulowanych w niniejszej Instrukcji mają zastosowanie przepisy ustawy o
ochronie danych osobowych z dnia 29 sierpnia 1997 r. oraz rozporządzenia Ministra Spraw
Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
4